Die Europäische Union setzt ihre Digital-Offensive fort und möchte mit dem Entwurf des Cyber Resilience Act neue Mindeststandards bei der Cybersicherheit von Produkten setzen. Für Hersteller, Importeure und Händler von „Produkten mit digitalen Elementen“ bedeutet dies umfangreiche neue Pflichten, die frühzeitig adressiert werden sollten.
Im Herbst 2022 hat die Europäische Kommission ihren „Vorschlag für eine Verordnung über horizontale Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen“, den Cyber Resilience Act, veröffentlicht. Erklärtes Ziel ist es, der zunehmenden Zahl von Cyberattacken auf Hard- und Softwareprodukte zu begegnen. Bislang besteht in Sachen Cybersicherheit ein gesetzlicher Flickenteppich aus EU-Vorschriften sowie nationalen Gesetzen, die sich wiederum von Branche zu Branche unterscheiden. Der Cyber Resilience Act soll nun einen einheitlichen Mindeststandard in Sachen Cybersicherheit für nahezu alle Branchen schaffen, ohne sektorspezifische Regelungen zu verdrängen. Und dieser Entwurf hat es in sich.
Pflichtenkatalog für Produkte mit digitalen Elementen
Der Entwurf des Cyber Resilience Act erfasst alle „Produkte mit digitalen Elementen“, das heißt sämtliche Produkte, die bestimmungsgemäß oder vernünftigerweise vorhersehbar dazu benutzt werden können, eine Datenverbindung zu einem Gerät oder einem Netzwerk aufzubauen. Damit dürfte jede Software, jedes „smarte“ und jedes mit einem PC oder Smartphone ansteuerbare Produkt von den neuen Anforderungen betroffen sein. Hersteller, Importeure und Händler, die Produkte mit digitalen Elementen in der EU auf den Markt bringen, müssen künftig einen umfangreichen Pflichtenkatalog im Bereich der Cybersicherheit umsetzen.
Beginnend mit dem Produktentwicklungsprozess bis zu fünf Jahre nach Markteinführung sind die Hersteller verpflichtet, verschiedene Maßnahmen für ein angemessenes Cybersecurity-Niveau der Produkte umzusetzen. Bei neuen Produkten müssen sicherheitsrelevante Einstellungen vorkonfiguriert sein („Cybersecurity by default”). Nach dem Inverkehrbringen des Produkts hat der Hersteller für maximal fünf Jahre sicherzustellen, dass dieses weiterhin den Sicherheitsanforderungen des Cyber Resilience Act gerecht wird; damit führt die EU eine gesetzliche Pflicht ein, dass Sicherheitslücken in diesem Zeitraum durch Updates behoben oder die Produkte zurückgerufen werden müssen. Weiterhin müssen die Hersteller beispielsweise umfassende Risikobewertungen vornehmen, Prozesse zum Erkennen von IT-Schwachstellen einrichten, technische Dokumentationen erstellen (u. a. „Software bill of materials“) und sicherheitsrelevante Zwischenfälle an Behörden und Betroffene melden. Noch weitergehende Pflichten treffen Hersteller von kritischen oder hochkritischen Produkten mit digitalen Elementen. Zu diesen zählen etwa Passwortmanager, Firewalls, Microprozessoren oder Betriebssysteme. Hier gelten gesteigerte Anforderungen für die Risikobewertungsprozesse, bis hin zur Durchführung dieser Prüfungen durch unabhängige Dritte. Damit sollen einerseits die Gefahren für solche kritischen Anwendungen reduziert werden und durch die Transparenz auch für zusätzliche Sicherheit gesorgt werden, welche Produkte von vertrauenswürdigen Anbietern stammen.
Cyber Resilience Act derzeit noch im Gesetzgebungsverfahren
Die Importeure und Händler haben in erster Linie sicherzustellen, dass die von ihnen importierten beziehungsweise vermarkteten Produkte die Anforderungen des Cyber Resilience Act erfüllen, die erforderliche Dokumentation bereitliegt und die Produkte entsprechend gekennzeichnet sind. Wenn Importeure oder Händler ein Produkt mit digitalen Elementen aber unter ihrem eigenen Namen, unter ihrer eigenen Marke oder mit erheblichen Veränderungen auf dem EU-Markt in den Verkehr bringen, gelten sie als Hersteller und unterliegen den Pflichten des Herstellers.
Verstöße gegen den Cyber Resilience Act können mit empfindlichen Bußgeldern belegt werden, die bis zu 15 Mio. Euro oder 2,5 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahrs umfassen können. Die Marktaufsichtbehörden sind zudem befugt, geeignete Abhilfemaßnahmen oder Produktrückrufe anordnen.
Der Cyber Resilience Act befindet sich derzeit noch im Gesetzgebungsverfahren. Der Entwurf wurde weithin begrüßt, wenngleich in einigen Punkten Nachbesserungsbedarf angemahnt wurde. Eine Verabschiedung könnte noch im Jahr 2023 erfolgen. Als Verordnung ist der Cyber Resilience Act direkt in allen EU-Mitgliedstaaten anwendbar. Den Unternehmen werden nach der Veröffentlichung der Verordnung im Amtsblatt der Europäischen Union 24 Monate für die Umsetzung der erforderlichen Maßnahmen bleiben.
Hinweis: Auch wenn noch Änderungen bis zum finalen Stand der Verordnung zu erwarten sind, wird der Cyber Resilience Act tiefgreifende Anpassungen bei zahlreichen Unternehmen erfordern. Neben der Implementierung neuer Prozesse und der Erstellung von Dokumentationen dürfte auch die Anpassung bestehender Vertragsbeziehungen geboten sein, um die Umsetzung der Pflichten aus dem Cyber Resilience Act in der Supply Chain sicherzustellen. In Extremfällen könnten Unternehmen sogar gezwungen sein, die gesamte Hard- oder Softwarearchitektur ihrer Produkte zu überarbeiten. Wir empfehlen daher, bereits jetzt den Anpassungsbedarf zu evaluieren und den weiteren Gesetzgebungsprozess eng zu verfolgen.
Laurent Meister
Laurent Meister, LL.M. (Suffolk University, Boston) ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei RSM Ebner Stolz in Stuttgart. Seine Tätigkeitsschwerpunkte liegen in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Ein besonderer Schwerpunkt ist dabei in der umfassenden vertrags- und datenschutzrechtlichen Beratung von Unternehmen bei Digitalisierungsprojekten, etwa im Bereich IoT. Darüber hinaus berät er umfassend in allen Fragen des Datenschutzes und begleitet Unternehmen bei Verfahren vor den Aufsichtsbehörden und datenschutzrechtlichen Auseinandersetzungen mit Betroffenen.